当前位置: 首页 > news >正文

IDA Pro基本使用

IDA Pro基本使用

10.在位于0x1000FF58处的子过程中的几百行指令中,一系列使用memcmp 来比较字符串的比较。
如果对robotwork的字符串比较是成功的(当memcmp返回0),会发生什么?
11.PSLIST 导出函数做了什么?
12.使用图模式来绘制出对sub10004E79的交叉引用图。当进入这个函数时,哪个API函数可能被调用?仅仅基于这些API函数,你会如何重命名这个函数?
13.D1lMain 直接调用了多少个 Windows API?多少个在深度为2时被调用?14.在x18001358处,有一个对Sleep(一个使用一个包含要睡眠的毫秒数的参数的API函数)的调用。顺着代码向后看,如果这段代码执行,这个程序会睡眠多久?
15.在0x10001701处是一个对socket的调用。它的3个参数是什么?16.使用MSDN页面的socket和IDAPro中的命名符号常量,你能使参数更加有意义吗?在你应用了修改以后,参数是什么?
17.搜索in指令(opcode 8xED)的使用。这个指令和一个魔术字符串 VXh 用来进行 VMware 检测。这在这个恶意代码中被使用了吗?使用对执行in指令函数的交叉引用,能发现进一步检测VMware 的证据吗?
18.将你的光标跳转到0x1001D988处,你发现了什么?
19.如果你安装了IDA Python插件(包括IDAPro的商业版本的插件),运行Lab05-01.py,一个本书中随恶意代码提供的IDA ProPython脚本,(确定光标是在0x1001D988处。)在你运行这个脚本后发生了什么?
20.将光标放在同一位置,你如何将这个数据转成一个单一的ASCI 字符串?
21.使用一个文本编辑器打开这个脚本。它是如何工作的?

1.DllMain的地址是什么?

打开默认在的位置1000D02E就是DllMain地址
在这里插入图片描述
空格键可以看到图形化界面选择options、general勾选对应的选项在图像化也能看到
在这里插入图片描述

2.使用Imports 窗口并浏览到 gethostbyname,导入函数定位到什么地址?

这里可以打开Imports 窗口
在这里插入图片描述
默认已经打开 找到对应的函数gethostbyname
在这里插入图片描述

双击进去可以看到对应的地址 idata:100163CC
在这里插入图片描述

3.有多少函数调用了gethostbyname?

点击函数位置快捷键ctrl+x打开 其中type为p的为调用函数一共5个不同函数调用
在这里插入图片描述

4.将精力集中在位于0x10001757处的对 gethostbyname 的调用,你能找出哪个 DNS请求将被触?

按G键跳转到对应的位置0x10001757
在这里插入图片描述

函数调用前将eax参数push进栈,而pics.praticalmalwareanalys是对应的内容
add eax,0dh,是跳过前面[This is RDO]部分,将指针指向pics.praticalmalwareanalys
在这里插入图片描述

5&6.IDA Pro 识别了在 0x10001656处的子过程中的多少个局部变量和参数

跳转到对应位置,往上看,发现一共有23个局部变量,1个参数
在这里插入图片描述

7.使用 Strings 窗口,来在反汇编中定位字符串\cmd.exe /c。它位于哪?

在String窗口找到对应字符串\cmd.exe /c
在这里插入图片描述
双击找到对应的位置为xdoors_d:10095B34
在这里插入图片描述

8.在引用\cmd.exe /c区域内发生了什么

点击上键头可以看到引用的字符串的地方
在这里插入图片描述
往上看发现字符串, 并发现远程shell相关的字符串Remote Shell Session ,说明这个与远程控制相关
在这里插入图片描述
在这里插入图片描述
同时往下看发现一系列的命令相关,还是调用recv函数
在这里插入图片描述

9.在同样的区域,在 0x100101C8 处,看起来好像 dword 1008E5C4是一个全局变量,它帮助决定走哪条路径。那恶意代码是如何设置dword1008E5C4的呢?(提示:使用dword 1808E5C4的交叉引用)

按住G找到对应位置

在这里插入图片描述
双击进入,使用ctrl+x交叉引用找到影响这个全局变量的位置
在这里插入图片描述
进入,发现受eax变量影响,其中eax又是 call sub_10003695返回值
在这里插入图片描述
点击进入函数,发现这个函数调用的是GetVersionExA函数,然后验证平台是否是win32平台并返回
在这里插入图片描述


http://www.mrgr.cn/news/31851.html

相关文章:

  • Homebrew 命令大全
  • LeetCode 491-非递减子序列
  • 实用且免费的 IP 地域查询 API 接口推荐
  • 【JavaScript】LeetCode:96-100
  • 接口文档的定义
  • Redisson的可重入锁
  • 【Linux】简易日志系统
  • 剑指offer JZ54 二叉搜索树的第k个节点
  • python+selenium实现自动联网认证,并实现断网重连
  • 读取ply文件中的点云属性
  • vue3 TagInput 实现
  • 如何把python(.py或.ipynb)文件打包成可运行的.exe文件?
  • 毕业季,论文的开题报告对大学生来说意味着什么?
  • ESP32调用本地部署的ChatTTS
  • C++第1课——输出、变量和输入(含视频讲解)
  • 我与Linux的爱恋:命令行参数|环境变量
  • 2024CSP-J初赛
  • string类(C++)
  • LeetCode 滑动窗口 最少交换次数来组合所有的 1 II
  • 湖北师范大学-Java入门 - 分支结构
  • 基于单片机汽车驾驶防瞌睡防疲劳报警器自动熄火设计
  • 浅谈Python之协程
  • 以STM32CubeMX创建DSP库工程方法二
  • 与姜妍同款冰箱,容声516WILL养鲜冰箱领“鲜”上市
  • Tomcat 乱码问题彻底解决
  • Go语言笔记